Pillan a eBay escaneando la conexión de los ordenadores que visitan sus páginas
Investigadores han descubierto que las páginas web de eBay realizan escáneres de puertos en los ordenadores de los usuarios que las visitan, incluso sin cuenta.
25 mayo, 2020 16:18Noticias relacionadas
La próxima vez que visites la página de eBay, esta sabrá si estás usando determinados programas, gracias a un escáner completo de puertos en el navegador que estás usando. Es lo que han descubierto investigadores de seguridad a lo largo del pasado fin de semana, y OMICRONO ha podido confirmarlo.
Los puertos de tu ordenador son conexiones que pueden ser usadas por determinados programas; por ejemplo, los navegadores web usan el puerto 80 para conectarse a Internet a través del protocolo HTTP. Otros programas, como los de descarga de torrent o de streaming, nos pueden pedir abrir puertos para funcionar correctamente.
Es por eso que los puertos que tengamos abiertos (o que un programa haya abierto) dicen mucho del uso que le damos a nuestro ordenador, y pueden servir para realizar ataques remotos. Ahora, se ha descubierto que eBay está escaneando esos puertos cada vez que entramos en sus páginas web.
eBay escanea los puertos de nuestro ordenador
El escaneo fue descubierto por @mcbazza en Twitter y revela una posible medida de seguridad que se ha excedido de sus límites.
Cuando entramos en una de las páginas web de eBay (hemos probado ebay.es, ebay.com y ebay.de), automáticamente se traliza una comprobación de los puertos abiertos en nuestro ordenador; esto sólo ocurre si visitamos la página desde un ordenador Windows, y en ningún momento se avisa al usuario.
Podemos verlo con nuestros propios ojos fácilmente. Primero, pulsamos F12 en una pestaña nueva para abrir las herramientas de desarrolladores, y buscamos una pestaña que se llame 'Red' o 'Network'. A continuación, entramos en la página web y veremos cómo la lista empieza a llenarse; las peticiones que nos interesan son las que tienen el nombre '127.0.0.1', la dirección IP que define al 'host' local (es decir, nuestro ordenador).
Si visitamos una de las páginas de eBay, veremos que hay una larga lista de peticiones semejantes. Cada una representa un intento de conectar con uno de los puertos de nuestro ordenador; en otras palabras, la página está intentando comprobar si tenemos el puerto abierto, aunque por ahora no parece que haga nada más.
La información obtenida en el escáner es cifrada y se almacena en los servidores de eBay, escondida en el código normal de la página web.
Esto es algo realmente raro, y extremadamente sospechoso en cualquier contexto; si una página convencional empezase a escanear nuestros puertos, inmediatamente sospecharíamos que está intentando hackearnos, buscando algún punto débil. No creemos que ese sea el objetivo de eBay, por supuesto, pero sí que esta práctica no es propia de una web fiable.
¿Para qué quiere esa información?
eBay no ha realizado aún declaraciones al respecto, pero al menos ya hay una teoría de porqué realiza el escáner: para encontrar posibles estafadores. Según BleepingComputer, los puertos escaneados coinciden con los puertos usados por programas de acceso remoto, como Teamviewer.
Jesus, they encrypt the results of the scan and pass it to their own servers in a GET request to a png! Look at all the data they're sending on one page load.
— Nemec (@djnemec) May 24, 2020
Here's a Python script to decrypt the payloads, just copy the URL from devtools:https://t.co/pfEW9E3uPQ pic.twitter.com/IKqaAhPVyv
El pasado 2016, eBay descubrió que unos atacantes estaban usando vulnerabilidades de estos programas para tomar el control de otros ordenadores y realizar compras fradulentas con la cuenta de la víctima.
Por lo tanto, lo más probable es que eBay esté registrando si el usuario que realiza una compra está usando esos programas y es sospechoso de ser un atacante; sin embargo, esta sería una medida un tanto 'bruta', y que afectaría todos los usuarios, incluso los que visitan sin crearse una cuenta en la página web. eBay puede tener una enorme base de datos de los puertos de todas las personas que visitan su página.